Log in

Guide de démarrage rapide du module IPS Cisco ASA

Mis à jour: 11 octobre 2012

Langue sans bia

Table des matières

Module IPS Cisco ASA
Informations sur le module IPS sur l'ASA
Connexion de l'interface de gestion ASA IPS
ASA 5510, ASA 5520, ASA 5540, ASA 5580, ASA 5585-X (module physique)
ASA 5512-X à ASA 5555-X (module logiciel)
ASA 5505
Lancement du gestionnaire de périphériques de sécurité adaptatifs (ASDM) sur l'ASA
(ASA 5512-X à ASA 5555-X) Exigences de licence
Configuration des paramètres réseau du module IPS de base
(ASA 5512-X à ASA 5555-X ; peut être nécessaire) Démarrage du module logiciel
Configuration de la politique de sécurité IPS
Redirecting Traffic vers le Module IPS
Où aller ensuite

Guide de démarrage rapide

Module IPS Cisco ASA

Révisé : 11 octobre 2012

1 Informations sur le module IPS sur l'ASA

Le module IPS peut être un module physique ou un module logiciel, selon votre modèle ASA. Pour la
compatibilité du logiciel du modèle ASA et du matériel avec le module IPS, voir le Compatibilité Cisco
ASA à http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html.

Le module IPS exécute un logiciel IPS avancé qui fournit des services proactifs et complets de prévention
des intrusions pour arrêter le trafic malveillant, y compris les vers et les virus réseau, avant qu'ils ne
puissent affecter votre réseau.

Le module IPS exécute une application distincte de l'ASA. Le module IPS peut inclure une interface de
gestion externe afin que vous puissiez vous connecter directement au module IPS ; s'il ne dispose pas
d'interface de gestion, vous pouvez vous connecter au module IPS via l'interface ASA. Toute autre
interface sur le module IPS, si disponible pour votre modèle, est utilisée uniquement pour le trafic ASA.

Le trafic passe par les vérifications du pare-feu avant d'être transmis au module IPS. Lorsque vous
identifiez le trafic pour l'inspection IPS sur l'ASA, le trafic passe par l'ASA et le module IPS comme suit.
Note: Cet exemple est pour le « mode en ligne »." Consultez le guide de configuration ASA pour obtenir
des informations sur le « mode promiscuité », où l'ASA n'envoie qu'une copie du trafic au module IPS.
1. Le trafic entre dans l'ASA.
2. Le trafic VPN entrant est déchiffré.
3. Les politiques de pare-feu sont appliquées.
4. Le trafic est envoyé au module IPS.
5. Le module IPS applique sa politique de sécurité au trafic et prend les mesures appropriées.
6. Le trafic valide est renvoyé à l'ASA ; le module IPS peut bloquer du trafic conformément à sa politique
de sécurité et ce trafic n'est pas répercuté.
7. Le trafic VPN sortant est crypté.
8. La circulation sort de l'ASA.

La figure suivante montre le flux de trafic lors de l'exécution du module IPS en mode en ligne. Dans cet
example, le module IPS bloque automatiquement le traffic qu'il a identifié comme une attaque. Tout autre
trafic est transmis via l'ASA.

2 Connexion de l'interface de gestion ASA IPS

En plus de fournir un accès de gestion au module IPS, l'interface de gestion IPS a besoin d'accéder à un
serveur proxy HTTP ou à un serveur DNS et à Internet afin de pouvoir télécharger une corrélation globale,
des mises à jour de signature et des demandes de licence. Cette section décrit les configurations réseau
recommandées. Votre réseau peut différer.

ASA 5510, ASA 5520, ASA 5540, ASA 5580, ASA 5585-X (module physique)

Le module IPS comprend une interface de gestion distincte de l'ASA.

Si vous avez un routeur intérieur

Si vous disposez d'un routeur intérieur, vous pouvez acheminer entre le réseau de gestion, qui peut
inclure à la fois les interfaces ASA Management 0/0 et IPS Management 1/0, et le réseau intérieur ASA.
Assurez-vous également d'ajouter un itinéraire sur l'ASA pour atteindre le réseau de gestion via le routeur
intérieur.
Si vous n'avez pas de routeur intérieur

Si vous n'avez qu'un seul réseau intérieur, vous ne pouvez pas non plus disposer d'un réseau de gestion
distinct, ce qui nécessiterait un routeur intérieur pour acheminer entre les réseaux. Dans ce cas, vous
pouvez gérer l'ASA depuis l'interface intérieure au lieu de l'interface Management 0/0. Étant donné que le
module IPS est un périphérique distinct de l'ASA, vous pouvez configurer l'adresse IPS Management 1/0
pour qu'elle se trouve sur le même réseau que l'interface intérieure.

ASA 5512-X à ASA 5555-X (module logiciel)

Ces modèles exécutent le module IPS en tant que module logiciel, et l'interface de gestion IPS partage
l'interface Management 0/0 avec l'ASA.

Si vous avez un routeur intérieur

Si vous disposez d'un routeur intérieur, vous pouvez acheminer entre le réseau Management 0/0, qui
comprend à la fois les adresses IP de gestion ASA et IPS, et le réseau intérieur. Assurez-vous également
d'ajouter un itinéraire sur l'ASA pour atteindre le réseau de gestion via le routeur intérieur.
Si vous n'avez pas de routeur intérieur

Si vous n’avez qu’un seul réseau interne, vous ne pouvez pas non plus disposer d’un réseau de gestion
distinct. Dans ce cas, vous pouvez gérer l'ASA depuis l'interface intérieure au lieu de l'interface
Management 0/0. Si vous supprimez le nom configuré par ASA de l'interface Management 0/0, vous
pouvez toujours configurer l'adresse IP IPS pour cette interface. Étant donné que le module IPS est
essentiellement un périphérique distinct de l'ASA, vous peut configurez l'adresse de gestion IPS pour
qu'elle se trouve sur le même réseau que l'interface intérieure.

Note Vous devez supprimer le nom configuré ASA pour Management 0/0 ; s'il est configuré sur l'ASA,
alors l'adresse IPS doit être sur le même réseau que l'ASA, ce qui exclut tous les réseaux déjà
configurés sur d'autres interfaces ASA. Si le nom n'est pas configuré, alors l'adresse IPS peut se
trouver sur n'importe quel réseau, par exemple l'ASA à l'intérieur du réseau.

ASA 5505

L'ASA 5505 ne dispose pas d'interface de gestion dédiée. Vous devez utiliser un VLAN ASA pour accéder
à une adresse IP de gestion interne via le fond de panier. Connectez le PC de gestion à l'un des ports
suivants : Ethernet 0/1 à 0/7, qui sont attribués au VLAN 1.

3 Lancement du gestionnaire de périphériques de sécurité adaptatifs (ASDM)

sur l'ASA
La configuration ASA par défaut vous permet de vous connecter à l'adresse IP de gestion par défaut
(192.168.1.1). Selon votre réseau, vous devrez peut-être modifier l'adresse IP de gestion ASA, ou même
configurer des interfaces ASA supplémentaires pour l'accès ASDM (voir le "Section « Connexion de
l'interface de gestion ASA IPS »). Pour l'ASA 5512-X à l'ASA 5555-X, si vous ne disposez pas d'un
réseau de gestion distinct (voir le "Section « Si vous n'avez pas de routeur intérieur »), vous devez
configurer une interface interne pour la gestion, et vous devez supprimer le nom de l'interface
Management 0/0. Pour modifier les paramètres d'interface et de gestion, consultez le guide de
configuration ASA.

Étape 1 Sur le PC de gestion, lancez un navigateur web.

Étape 2 Dans le champ Adresse, entrez l'URL suivante: https://ASA_IP_adresse/administrateur.
L'adresse IP de gestion ASA par défaut est 192.168.1.1.
Étape 3 Cliquez Exécutez ASDM pour exécuter l'application Java Web Start. Sinon, vous pouvez
télécharger le lanceur ASDM-IDM. Consultez le guide de configuration de l'ASA pour plus d'informations.
Étape 4 Acceptez tous les certificats selon les boîtes de dialogue qui apparaissent. La boîte de dialogue
Cisco ASDM-IDM Launcher s'affiche.
Étape 5 Laissez les champs nom d'utilisateur et mot de passe vides, et cliquez OK. La fenêtre principale
de l'ASDM apparaît.
4 (ASA 5512-X à ASA 5555-X) Exigences de licence
Pour l'ASA 5512-X via l'ASA 5555-X, l'ASA nécessite le Licence de module IPS. Pour une paire de
basculement, chaque unité nécessite cette licence. Pour consulter vos licences actuelles, dans ASDM
choisissez Accueil > Tableau de bord des appareils > Informations sur les appareils > Licence de
l'appareil. Pour plus d'informations sur les licences ASA, consultez le chapitre sur les licences dans le
guide de configuration.

5 Configuration des paramètres réseau du module IPS de base

ASA 5510 et supérieur

Utilisez l'assistant de démarrage ASDM pour configurer les paramètres réseau IPS de base. Ces
paramètres sont enregistrés dans la configuration IPS et non dans la configuration ASA.

Étape 1 Choisir Assistant de démarrage Wizards >.

Étape 2 Cliquez Suivant pour avancer dans les écrans initiaux jusqu'à ce que vous atteigniez l'écran de
configuration de base IPS.

Note (ASA 5512-X à ASA 5555-X) Si vous ne voyez pas l'écran de configuration IPS Basic dans votre
assistant, alors le module IPS n'est pas en cours d'exécution. Voir le "section « (ASA 5512-X à
ASA 5555-X ; peut être nécessaire) Démarrage du module logiciel », 2, puis répétez cette
procédure après avoir installé le module.

Étape 3 Dans la zone Paramètres réseau, configurez ce qui suit:

– Adresse IP—L'adresse IP de gestion. Par défaut, l'adresse est 192.168.1.2, sur le même réseau que
l'adresse IP de gestion ASA par défaut. Voir le "Section « Connexion de l'interface de gestion ASA
IPS » pour comprendre les exigences pour votre réseau.
– Sous-réseau Mask—Le masque de sous-réseau pour l'adresse IP de gestion.
– Gateway—L'adresse IP du routeur de saut suivant. Voir le "Section « Connexion de l'interface de
gestion ASA IPS » pour comprendre les exigences pour votre réseau. Le paramètre par défaut de
 l'adresse IP de gestion ASA ne fonctionnera pas.
– HTTP Proxy Server— (Facultatif) L'adresse du serveur proxy HTTP. Vous pouvez utiliser un serveur
proxy pour télécharger des mises à jour de corrélation globale et d'autres informations au lieu de
les télécharger sur Internet.
– HTTP Proxy Port— (Facultatif) Le port du serveur proxy HTTP.
– DNS Primary— (Facultatif) L'adresse principale du serveur DNS. Vous avez besoin d'un serveur DNS
pour communiquer avec le serveur de mise à jour sur Internet.
Étape 4 Dans la zone Liste d'accès à la gestion, entrez ce qui suit:
a. Saisissez l'adresse IP du réseau hôte de gestion.
b. Choisissez le masque de sous-réseau dans la liste déroulante.
c. Cliquez Ajouter pour ajouter ces paramètres à la liste Hôtes/Réseaux autorisés.
Étape 5 Dans la zone Mot de passe du compte Cisco, définissez le mot de passe du nom d'utilisateur
cisco et confirmez-le. Le nom d'utilisateur cisco et ce mot de passe sont utilisés pour les sessions Telnet
à partir des hôtes spécifiés par la liste d'accès de gestion et lors de l'accès au module IPS depuis ASDM
(Configuration > IPS). Par défaut, le mot de passe est cisco.
Étape 6 Dans l'espace Participation au réseau, pour participer au partage de données SensorBase,
cliquez sur Plein, Partiel, ou Off.
Étape 7 Cliquez Suivant pour avancer à travers les écrans restants, et compléter l'assistant.
ASA 5505

Utilisez ASDM pour configurer la configuration réseau IPS de base. Ces paramètres sont enregistrés dans
la configuration IPS et non dans la configuration ASA.

Étape 1 Choisir Configuration > Configuration de l'appareil > Configuration SSC.

Étape 2 Dans la zone Interface de gestion, définissez ce qui suit:
a. Choisissez le VLAN Interface dans la liste déroulante. Ce paramètre vous permet de gérer le
module ASA IPS à l'aide de ce VLAN. Par défaut, le VLAN de gestion est le VLAN 1 (l'interface
intérieure).
b. Entrez l'adresse IP de gestion IPS. Assurez-vous que cette adresse se trouve sur le même
sous-réseau que l'adresse IP ASA VLAN. Par exemple, si vous avez attribué 10.1.1.1 au VLAN
pour l'ASA, attribuez une autre adresse sur ce réseau, telle que 10.1.1.2, pour l'adresse de
gestion IPS. Par défaut, l'adresse est 192.168.1.2.
c. Choisissez le masque de sous-réseau dans la liste déroulante.
d. Entrez l'adresse IP de la passerelle par défaut. Définissez la passerelle comme étant l'adresse
IP ASA du VLAN de gestion. Par défaut, cette adresse IP est 192.168.1.1.
Étape 3 Dans la zone Liste d'accès à la gestion, entrez ce qui suit:
a. Saisissez l'adresse IP du réseau hôte de gestion, généralement le même réseau que l'adresse
IP de gestion.
b. Choisissez le masque de sous-réseau dans la liste déroulante.
c. Cliquez Ajouter pour ajouter ces paramètres à la liste Hôtes/Réseaux autorisés.
Étape 4 Dans la zone Mot de passe IPS, procédez comme suit:
a. Entrez le mot de passe actuel. Le mot de passe par défaut est cisco.
b. Entrez le nouveau mot de passe et confirmez le changement.
Étape 5 Cliquez Appliquer pour enregistrer les paramètres dans la configuration en cours d'exécution.
Étape 6 Pour lancer l'assistant de démarrage IPS, cliquez sur le Configurer le module IPS SSC lien.
6 (ASA 5512-X à ASA 5555-X ; peut être requis) Démarrage du module logiciel

Votre ASA est généralement livré avec un logiciel de module IPS présent sur Disk0. Si le module n'est pas
en cours d'exécution, ou si vous ajoutez le module IPS à un ASA existant, vous devez démarrer le logiciel
du module.

Étape 1 Faites l'une des opérations suivantes:

• Nouvel ASA avec IPS préinstallé—Voir le nom de fichier logiciel du module IPS dans la mémoire flash.
Choisir Outils > Gestion de fichiers.
Par exemple, recherchez un nom de fichier comme IPS-SSP_5512-K9-sys-1.1-a-7.1-4-E4.aip.
Notez le nom de fichier ; vous aurez besoin de ce nom de fichier plus tard dans la procédure.
• ASA existant avec nouvelle installation IPS—Téléchargez le logiciel IPS de Cisco.com sur votre
ordinateur. Si vous disposez d'une connexion Cisco.com, vous pouvez obtenir le logiciel sur le site Web
suivant:
http://www.cisco.com/cisco/software/navigator.html?mdfid=282164240

Choisir Outils > Gestion de fichiers, alors choisissez Transfert de fichiers > entre PC local et
Flash pour télécharger la nouvelle image sur le disque0. Notez le nom de fichier ; vous aurez
besoin de ce nom de fichier plus tard dans la procédure.
Étape 2 Choisir Outils > Interface de ligne de commande.
Étape 3 Pour définir l'emplacement du logiciel du module IPS dans le disque0, saisissez la commande
suivante, puis cliquez sur Envoyer:
module sw-module ips récupérer configurer l'image disque0:fichier_path
Par exemple, en utilisant le nom de fichier dans l'exemple de l'étape 1, entrez:
module sw-module ips récupérer configurer l'image
disque0:IPS-SSP_5512-K9-sys-1.1-a-7.1-4-E4.aip
Étape 4 Pour démarrer le logiciel du module IPS, saisissez la commande suivante puis cliquez sur
Envoyer:
module sw-module ips récupérer le démarrage
Étape 5 Pour vérifier la progression du processus de transfert d'image et de redémarrage du module,
saisissez la commande suivante puis cliquez sur Envoyer:
afficher les détails ips du module
Le champ État dans la sortie indique l'état opérationnel du module. Un module fonctionnant
normalement affiche un statut de « Up »." Pendant que l'ASA transfère une image d'application au
module, le champ État dans la sortie indique « Récupérer »." Lorsque l'ASA termine le transfert
d'image et redémarre le module, l'image nouvellement transférée est en cours d'exécution.
7 Configuration de la politique de sécurité IPS

Étape 1 Pour accéder au Gestionnaire de périphériques IPS (IDM) depuis ASDM, cliquez sur
Configuration > IPS.
Étape 2 Entrez l'adresse IP que vous avez définie "Section « Configuration des paramètres réseau du
module IPS de base », ainsi que le port ; l'adresse et le port par défaut sont 192.168.1.2 :443.
Étape 3 Entrez le nom d'utilisateur cisco et le mot de passe que vous avez défini "Section « Configuration
des paramètres réseau du module IPS de base »; le mot de passe par défaut est cisco.
Étape 4 Pour enregistrer les informations de connexion sur votre PC local, vérifiez le Enregistrez les
informations de connexion IPS sur l'hôte local case à cocher.
Étape 5 Cliquez Continuer. Le volet Assistant de démarrage apparaît.

Étape 6 Cliquez Assistant de démarrage de lancement. Complétez les écrans comme demandé. Pour
plus d'informations, consultez l'aide en ligne de l'IDM.
8 Rediriger le trafic vers le module IPS

Tout le trafic envoyé via le fond de panier vers le module IPS a la politique de sécurité IPS appliquée.
Effectuez les étapes suivantes pour déterminer quel trafic envoyer au module IPS:

Étape 1 En ASDM, choisissez Configuration > Pare-feu > Règles de politique de service.

Étape 2 Choisir Ajouter > Ajouter une règle de politique de service. La boîte de dialogue Ajouter une
règle de politique de service - Politique de service s'affiche.
Étape 3 Remplissez la boîte de dialogue Politique de service, puis la boîte de dialogue Critères de
classification du trafic comme vous le souhaitez. Consultez l'aide en ligne de l'ASDM pour plus
d'informations sur ces écrans.
Étape 4 Cliquez Suivant pour afficher la boîte de dialogue Ajouter un assistant de règle de politique de
service - Actions de règle.
Étape 5 Cliquez sur le Prévention des intrusions onglet.

Étape 6 Vérifiez le Activer IPS pour ce flux de trafic case à cocher.

Étape 7 Dans la zone Mode, cliquez sur Mode En Ligne ou Mode promiscuité. Le mode en ligne place le
module IPS directement dans le flux de trafic. Aucun trafic que vous avez identifié pour l'inspection IPS ne
peut continuer via l'ASA sans avoir d'abord traversé et inspecté par le module IPS. Le mode promiscuité
envoie un flux de trafic en double au module IPS. Ce mode est moins sécurisé, mais a peu d'impact sur le
débit du trafic.
Étape 8 Dans la zone Si la carte IPS échoue, cliquez sur Permettre le trafic ou Circulation rapprochée.
L'option Fermer le trafic définit l'ASA pour bloquer tout le trafic si le module IPS n'est pas disponible.
L'option de trafic Permis définit l'ASA pour autoriser tout le trafic, sans inspection, si le module IPS n'est
pas disponible. Pour plus d'informations sur la zone Sélection de capteurs IPS, consultez l'aide en ligne
de l'ASDM.
Étape 9 Cliquez OK et puis Appliquer.
Étape 10 Répétez cette procédure pour configurer des flux de trafic supplémentaires comme souhaité.
9 Où aller ensuite
• (Facultatif) Configurer les options IPS avancées, y compris les capteurs virtuels. Consultez l'aide en
ligne de l'IDM ou la feuille de route de documentation de votre version:
http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_documentation_roadmaps_list.html
• (Facultatif) Configurer les capteurs virtuels sur l'ASA. Consultez l'aide en ligne ou le chapitre IPS dans
le guide de configuration de votre version ASA:
http://www.cisco.com/go/asadocs

Quick Links -

About Cisco

Contact Us

Careers

Connect with a partner

Resources and Legal -

Feedback

Help

Terms & Conditions

Privacy

Cookies / Do not sell or share my personal data

Accessibility

Trademarks
Supply Chain Transparency

Newsroom

Sitemap

©2024 Cisco Systems, Inc.